Esta semana en ciberseguridad

Falla en Fortinet es explotada para sofisticados ataques Ransomware.

Atacantes están explotando una vulnerabilidad en equipos Fortinet que provisiona una nueva variante de ransomware, llamada Cring, que está afectando a distintas industrias alrededor de Europa.

Investigadores indican que los atacantes están explotando una vulnerabilidad no parchada conocida como CVE-2018-13379 en FortiOS de Fortinet con la misión de ganar acceso a la red corporativa de las victimas y finalmente instalar un ransomware.

Cring es un tipo relativamente nuevo de ransomware, que ha sido observado por CSIRT de Swisscom en Enero. El ransomware es único en que usa dos formas de encripción, y destruye respaldos en un esfuerzo de complicar a las víctimas y prevenir que estas se recuperen usando respaldos sin pagar la recompensa.

La vulnerabilidad está relacionada con el portal SSL VPN y permite a un atacante no autenticado descargar archivos del sistema de las máquinas atacadas usando peticiones HTTP específicamente modificadas.

Kaspersky publicó un reporte al respecto indicando las formas de ataque del ransomware, y recalca la importancia de mantener los softwares actualizados para evitar este tipo de ataques.

Reporte: https://ics-cert.kaspersky.com/reports/2021/04/07/vulnerability-in-fortigate-vpn-servers-is-exploited-in-cring-ransomware-attacks/
Fuente: https://threatpost.com/hackers-exploit-flaw-cring-ransomware/165300/

Datos de más de 500 millones de usuarios de LinkedIn publicados para la venta.

La información personal de más de 500 millones de usuarios de LinkedIn ha sido publicada para la venta en línea, en otro incidente en que atacantes obtienen información masivamente desde los perfiles públicos y la ofrecen para su posible uso criminal.

De la misma manera que el incidente de Facebook esta semana, la información, que incluye ID de usuario, correos electrónicos, nombres completos, títulos profesionales y números de teléfono, fue obtenida en masa usando servicios disponibles públicamente, pero de una forma que no es la que se pretende.

Los usuarios de un conocido foro hacker pudieron acceder a una muestra de 2 millones de registros de la información.

La compañía está investigando el incidente, e indicó que no hubo un mal uso de su plataforma sino la obtención masiva de datos por medio de scraping.

Fuente: https://cybernews.com/news/stolen-data-of-500-million-linkedin-users-being-sold-online-2-million-leaked-as-proof-2/

Cisco no parchará vulnerabilidad crítica de ejecución remota de código que afecta a routers en fin de su tiempo de soporte.

La vulnerabilidad conocida como CVE-2021-1459 se considera crítica, y afecta al VPN Firewall y Routers modelo RV110W, RV130, RV130W y RV215W, permitiendo a un atacante ejecutar código en el appliance afectado.

Cisco Systems informó que no planea parchar una vulnerabilidad crítica de seguridad que afecta a algunos de sus routers para pequeños negocios, indicando que los usuarios deben renovar sus dispositivos ya que estos se encuentran fuera de su periodo de soporte.

Esta falla surge de un problema de validación de la entrada de datos del usuario en la plataforma de administración web, permitiendo a un actor malicioso ejecutar código usando peticiones HTTP.

Aparte de esto, Cisco lanzó otras actualizaciones para sus plataformas de software en Cisco WAN vManage, CVE-2021-1137, CVE-2021-1479, y CVE-2021-1480

Mas información: https://www.cisco.com/c/en/us/products/collateral/routers/small-business-rv-series-routers/eos-eol-notice-c51-742771.pdf
Otros parches: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-vmanage-YuTVWqy
Fuente: https://thehackernews.com/2021/04/cisco-will-not-patch-critical-rce-flaw.html

Esta semana en ciberseguridad

Servidor oficial GIT de PHP ha sido hackeado para insertar código malicioso en versiones oficiales

En un nuevo ataque que afecta la cadena de desarrollo de software, el servidor oficial GIT que almacena el repositorio de PHP ha sido hackeado, y su código fuente modificado maliciosamente.

El atacante pujó dos “commits” al repositorio php-src del popular lenguaje de programación PHP, que contenía una puerta trasera que permitía una ejecución remota de código, suplantando los nombres de Rasmus Lerdorf, autor del lenguaje PHP y Nikita Popov, desarrollador de software en Jetbrains, revelaron los mantenedores del código.

Los cambios fueron hechos el día de ayer 28 de Marzo, y aún no se sabe exactamente cuál fue el origen de este ataque, pero todo apunta a que el servidor git.php.net fue comprometido.

Los cambios, inscritos como “Fix Typo”, o “corrección de tipografía”, en un intento de no ser detectados, permiten ejecutar código PHP arbitrario al ser insertado en la cabecera user-agent de HTTP, si el texto inicia con “zerodium”, dijo el desarrollador de PHP Jake Birchall.

Zerodium es una empresa de los Estados Unidos conocida por comprar vulnerabilidades 0-day, pero su CEO, Chaouki Bekrar desmintió rumores de que Zerodium estuviera involucrada en el ataque, indicando a los atacantes como “trolls” que usaron el nombre para despistar.

Aparte de revertir los cambios, los mantenedores de PHP están revisando si es que existe algún otro tipo de corrupción aparte de los dos “commits” antes mencionados. No está claro si la base de código alterada fue descargada o distribuida antes que los cambios fueran descubiertos.

El equipo de PHP está aplicando una serie de modificaciones en su proceso de desarrollo, incluyendo migrar el código fuente a GitHub, y los desarrolladores que quieran contribuir al código deberán ser agregados como parte de la organización en GitHub.

Se estima que PHP es usado en un 80% de los sitios web, de acuerdo a un estudio de tecnologías de Web Technology Surveys, número que incluye a los sitios WordPress, que funciona sobre PHP.

Fuentes:
https://news-web.php.net/php.internals/113838
https://thehackernews.com/2021/03/phps-git-server-hacked-to-insert-secret.html
https://portswigger.net/daily-swig/backdoor-planted-in-php-git-repository-after-server-hack
https://w3techs.com/technologies/details/pl-php

Nuevo Zero-Day en Android bajo ataque

Google anunció una vulnerabilidad, ahora parchada, en dispositivos Android que usan chipsets de Qualcomm, que está siendo utilizada por atacantes para vulnerar objetivos específicos.

Conocida como CVE-2020-11261, con un puntaje de severidad 8.4, esta falla tiene relación con una validación impropia de datos de entrada en el componente Qualcomm Graphics, que puede ser explotada para corromper la memoria cuando una software malicioso solicita acceder a un gran espacio de memoria en el dispositivo afectado.
Es bueno mencionar que el vector de explotación requiere acceso local al dispositivo para poder vulnerar el equipo

Más datos específicos no han sido informados por Google, con el fin de prever que otros actores maliciosos tomen ventaja de este fallo.

Fuente: https://thehackernews.com/2021/03/warning-new-android-zero-day.html

Nueva falla crítica en la plataforma SolarWinds Orion permite ejecución remota de código.

El proveedor de soluciones de manejo de infraestructura SolarWinds anunció que fue lanzada una nueva versión de la herramienta Orion para monitoreo de redes, que cuenta con parches para cuatro nuevas vulnerabilidades de seguridad, incluyendo dos de ellas que pueden ser explotadas por un atacante autenticado para ejecutar código remotamente.

Una falla de deserialización JSON permite a un atacante autenticado ejecutar código arbitrariamente usando acciones de alerta de prueba, disponibles en la consola web de Orion. Esta funcionalidad permite a los usuarios simular eventos de red y puede ser configurada para alertar en caso de que esto suceda. Ha sido calificada como crítica en su severidad.

Además, un segundo problema está relacionado a una vulnerabilidad de alto riesgo que puede ser usada para ejecutar código remotamente en el calendarizador de trabajos de Orion, usando las credenciales sin privilegios de un usuario.

Esta ronda de arreglos viene luego que hace un par de meses, la compañía basada en Texas haya reparado dos vulnerabilidades críticas que impactaron a la plataforma Orion, y que pueden ser explotados para obtener ejecución de código con privilegios elevados.

El fabricante recomienda a los usuarios instalar lo antes posible la nueva versión de Orion Platform 2020.2.5 para mitigar estos problemas.

Fuente: https://thehackernews.com/2021/03/solarwinds-orion-vulnerability.html

Rootkit Purple Fox ahora puede infectar otros maquinas Windows

Una nueva característica ha sido descubierta en el rootkit Purple Fox, un malware conocido por infectar máquinas usando kits de explotación y correos phishing, que le permite distribuirse en forma de gusano a otras máquinas Windows adyacentes.

La campaña, en plena actividad recientemente, usa nuevos métodos de diseminación, haciendo escaneos de puertos indiscriminadamente, y explotando servicios SMB con claves débiles.

Un total de 90.000 incidentes han sido observados entre 2020 y lo que va de 2021.

Primero descubierto en Marzo del 2018, Purple Fox es distribuido como un payload malicioso .msi alojado en más de 2.000 servidores Windows comprometidos, que descarga y ejecuta un componente con características de Rootkit, permitiendo a los atacantes esconder el malware en la máquina y evadir la detección.

Ahora además de esto, se descubrió esta nueva funcionalidad, que logra diseminar el gusano a otras máquinas vulnerables.

Más información: https://github.com/guardicore/labs_campaigns/tree/master/Purple_Fox

Fuente: https://thehackernews.com/2021/03/purple-fox-rootkit-can-now-spread.html

Esta semana en ciberseguridad

Comisión para el Mercado Financiero CMF informa sobre incidente de ciberseguridad relacionado a Exchange

El dia 14 de Marzo, la Comisión para el Mercado Financiero informó que el día 12 del presente, fue afectada por un ataque a su plataforma de correo Microsoft Exchange, relacionado a las vulnerabilidades conocidas recientemente que afectan a este software.

El comunicado comenta que se activaron inmediatamente los protocolos de ciberseguridad para contener y dar continuidad a los servicios, y posteriormente informó los resultados preliminares de la investigación, confirmando que fue aislado solo a la plataforma Exchange, no afectando a otros servicios.

La investigación del hecho continúa, pero este caso nos recuerda que es importante estar al tanto de las vulnerabilidades y parches de los softwares que son administrados, para evitar estas situaciones

Fuente: (1) https://www.cmfchile.cl/portal/prensa/615/w3-article-47237.html

El FBI informa que el cibercrimen aumentó considerablemente el 2020, con pérdidas de 4.200 millones de dólares.

El Centro de Quejas por Crímenes de Internet IC3 del FBI lanzó su reporte anual el pasado miércoles, mostrando un alza en el cibercrimen, tanto en cantidad como en costo, durante el año 2020.

El reporte, en cuanto a seguridad empresarial, remarca dos puntos importantes. Uno es la emergencia de campañas de phishing relacionadas al COVID-19, tanto a organizaciones como a individuos, y la segunda, el aumento en el costo en los ataques que han comprometido cuentas de correo electrónico.

Los compromisos de cuentas de correo electrónico alcanzaron costos de 1.900 millones de dólares este 2020, 90 más que el 2019, comparado con los de ransomware en 29 millones de dólares. El reporte dice que los ataques ransomware no son reportados con tanta frecuencia.

Reporte: https://www.ic3.gov/Media/PDF/AnnualReport/2020_IC3Report.pdf

Fuente: https://www.scmagazine.com/home/security-news/cybercrime/fbi-cybercrime-skyrocketed-in-2020-with-email-compromise-scams-accounting-for-43-of-losses/

Ataques descubiertos apuntan a desarrolladores de aplicaciones Apple con troyanos para Xcode

Investigadores de ciberseguridad anunciaron un nuevo ataque que actores maliciosos están usando para comprometer a desarrolladores de la plataforma Apple con puertas traseras.

Llamada XcodeSpy, el proyecto troyanizado es una versión alterada de un proyecto de código abierto disponible en GitHub llamado TabBarInteraction, usado para animar las barras en el sistema iOS basado en la interacción del usuario.
Este proyecto malicioso instala una variante del backdoor EggShell en el computador del desarrollador, junto con un mecanismo de persistencia, dijeron los investigadores de SentinelOne

Usando un script de inicio, que es ejecutado cuando el desarrollador compila el proyecto, descarga esta variante del backdoor, y los instala en la máquina, permitiendo a los atacantes acceder al teclado, la cámara y el micrófono de la víctima.

Es posible que este ataque haya sido dirigido a algún desarrollador en específico, pero el hecho de que el foco del ataque sean desarrolladores, indica la intención de comprometer uno de los primeros eslabones de la cadena de producción de software, siendo sus víctimas de gran valor para conseguir sus objetivos.

Es importante auditar el software en su totalidad, incluyendo componentes externos.

Fuente: https://thehackernews.com/2021/03/hackers-infecting-apple-app-developers.html

Esta semana en ciberseguridad

Falla crítica de seguridad en plataforma Big-IP de F5 permite a atacantes ejecutar código sin autenticación.

La compañía F5 Networks publicó una alerta de seguridad por cuatro vulnerabilidades críticas que impactan a varios de sus productos, y podrían causar problemas, desde denegación de servicio a ejecución de código remoto.

Los parches están relacionados a siete distintas fallas, (CVE-2021-22986 a 22992) y afectan las versiones 11.6 y 12.x o más nuevas, con una ejecución de código remota (CVE-2021-22986) y que también afectan a las versiones 6.x y 7.x de BIG-IQ.

A pesar que F5 indica que no está al tanto de que estas vulnerabilidades han sido explotadas por actores maliciosos, de así serlo, podrían comprometer completamente los sistemas vulnerables.

F5 Networks urge a sus clientes a actualizar los productos BIG-IP y BIG-IQ a sus versiones parchadas lo más pronto posible.

Fuente: https://thehackernews.com/2021/03/critical-pre-auth-rce-flaw-found-in-f5.html

Código PoC para explotar vulnerabilidad reciente en Exchange ha sido publicado.

El código de prueba de concepto para explotar las vulnerabilidades recientemente conocidas en Microsoft Exchange ha sido publicado, por lo que se estima que la cantidad de ataques relacionados pueda aumentar considerablemente.

En un aviso de CISA y el FBI de los Estados Unidos, indican que la vulnerabilidad está siendo activamente explotada por diversos actores nacionales y cibercriminales. Los ataques principalmente han sido apuntados a gobiernos locales, instituciones académicas y otros sectores de negocios, como agricultura, biotecnología, defensa, farmacéutica entre otros, y algunos incluso siendo afectados con ransomware.

Miles de entidades, incluyendo la Autoridad Bancaria Europea, y el Parlamento Noruego, han sido atacados para instalar una puerta trasera basada en Web, llamada China Chopper web shell.

La cadena de fallas ha sido denominada ProxyLogon, permite a un atacante acceder a los servidores Exchange de la víctima, ganando acceso persistente y control sobre la red.

La mejor forma de mitigar estas fallas es instalando los parches que Microsoft ha dispuesto, lo más pronto posible.

Más Info: https://www.praetorian.com/blog/reproducing-proxylogon-exploit/

Fuente: https://thehackernews.com/2021/03/proxylogon-exchange-poc-exploit.html

Apple lanza nuevas versiones de software para resolver vulnerabilidad de ejecución de código remoto CVE-2021-1844.

Una vulnerabilidad descubierta en iOS, macOS, watchOS y Safari permitiría a atacantes remotos ejecutar código arbitrario en dispositivos vulnerables solo visitando un sitio web con contenido malicioso.

Esta vulnerabilidad, descubierta por Clément Lecigne del equipo de análisis de amenazas de Google y Alison Huffman del equipo de investigación de vulnerabilidades en navegadores de Microsoft, causa una corrupción de memoria que puede ser utilizada para ejecutar código, por lo que Apple ha dispuesto una actualización para sus dispositivos corriendo las versiones afectadas, iOS 14.4, macOS Big Sur y watchOS 7.3.1, así como una actualización a Safari en macOS Catalina y Mojave.

Apple sugiere actualizar a las versiones parchadas lo más pronto posible.

Fuente: https://thehackernews.com/2021/03/apple-issues-patch-for-remote-hacking.html

Esta Semana en ciberseguridad

Cuatro parches de emergencia lanzados por Microsoft para combatir vulnerabilidades 0-day en Exchange

Una colección de vulnerabilidades desconocidas ha salido a la luz, luego que Microsoft informara que atacantes, presuntamente asociados con el gobierno Chino, han estado utilizándolos en diversos ataques, principalmente con el objetivo de robar información, siendo grupo denominado “Hafnium”.

Microsoft insiste a todos sus clientes en instalar estos parches rápidamente, ya que, según comenta Tom Burt, Vicepresidente de Seguridad y Confianza en Microsoft, “a pesar de haber trabajado rápidamente para parchar estas vulnerabilidades, sabemos que muchos actores estatales y grupos criminales tomarán rápidamente ventaja de cualquier sistema vulnerable”

Microsoft no identificó a las víctimas, pero aseguró que eran negocios que utilizan sistemas Exchange instalados en sus propias oficinas

Las vulnerabilidades son las siguientes:

  • CVE-2021-26855, una vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF) que permitía a los atacantes enviar solicitudes HTTP arbitrarias y autenticarse como el servidor de Exchange.
  • CVE-2021-26857, una vulnerabilidad de deserialización insegura en el servicio de mensajería unificada. La deserialización insegura ocurre cuando un programa deserializa datos que no son de confianza y controlables por el usuario. La explotación de esta vulnerabilidad le dio a Hafnium la capacidad de ejecutar código como Usuario de Sistema en el servidor Exchange. Esto requiere permiso de administrador u otra vulnerabilidad para explotar.
  • CVE-2021-26858, una vulnerabilidad de escritura de archivo arbitrario posterior a la autenticación. Si Hafnium pudiera autenticarse con el servidor de Exchange, entonces podría usar esta vulnerabilidad para escribir un archivo en cualquier ruta del servidor. El grupo podría autenticarse explotando la vulnerabilidad SSRF CVE-2021-26855 o comprometiendo las credenciales de un administrador legítimo.
  • CVE-2021-27065, una vulnerabilidad de escritura de archivo arbitrario posterior a la autenticación. Si Hafnium pudiera autenticarse con el servidor de Exchange, podrían usar esta vulnerabilidad para escribir un archivo en cualquier ruta del servidor. Podría autenticarse aprovechando la vulnerabilidad SSRF CVE-2021-26855 o comprometiendo las credenciales de un administrador legítimo.

Este miércoles la agencia CISA de Ciberseguridad e Infraestructura de los Estados Unidos, ordenó a todas las agencias federales a investigar, parchar o desconectar los sistemas relacionados a esta falla debido a la seriedad del problema.

Más detalles se encuentran disponibles en
(1) https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/ y
(2) https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/

Fuente: https://arstechnica.com/information-technology/2021/03/microsoft-issues-emergency-patches-for-4-exploited-0days-in-exchange/

Vulnerabilidades descubiertas en el Kernel de Linux permiten escalar privilegios localmente

Cinco nuevas vulnerabilidades han sido descubiertas en el Kernel de Linux, conocidas como CVE2021-26708, y tienen una calificación CVSS de 7.0, consideradas como de riesgo alto.

Estos problemas fueron encontrados desde la versión 5.5 de Noviembre de 2019, y tienen relación con el soporte “Virtual Socket Multi-transport”. Los drivers vulnerables CONFIG_VSOCKETS y CONFIG_VIRTIO_VSOCKETS son incluidos por defecto en la mayoria de las distribuciones dominantes de GNU/Linux, y es posible que un usuario sin privilegios cargue estos módulos.

Alexander Popov, investigador de seguridad, comenta que “desarrolló un prototipo de escala local de privilegios en un servidor Fedora 33., saltando las protecciones de la plataforma x86_64 como SMEP y SMAP”.

Popov preparó los parches y divulgó responsablemente las vulnerabilidades al equipo de seguridad del kernel de Linux. El parche está disponible desde la versión 5.11-rc7 y ha sido incluido hacia atrás en todas las versiones estables.

Fuente: https://www.helpnetsecurity.com/2021/03/03/cve-2021-26708/?web_view=true

Esta semana en ciberseguridad

Ataque Ransomware a CD Projekt interrumpe el trabajo, posponiendo actualizaciones al juego Cyberpunk 2077

La compañía polaca CD Projekt SA, culpa del lento progreso que han logrado al reciente ataque del que fueron víctimas.

CD Projekt dijo que se ha rehusado a pagar la recompensa solicitada por los atacantes, y ha “cortado acceso a la red interna desde internet”

Debido a este ataque, que fue informado el 9 de Febrero, la mayoría de los empleados se han encontrado impedidos de acceder a sus estaciones de trabajo por más de 2 semanas.

Luego de un tormentoso lanzamiento de Cyberpunk 2077 en Diciembre, CD Projekt había anunciado los planes de lanzar diversas mejoras al juego este mes intentando redimir los las críticas y problemas a en su inicio, pero la compañia informó en un tweet que debido a las complicaciones generadas por el ataque esto lamentablemente no podrá ocurrir, anunciando que apuntan a la segunda mitad de Marzo para ello.

A pesar de que los empleados han tenido vacaciones inesperadas después de un largo periodo de trabajo, este ataque podría ser un dolor de cabeza para ellos, ya que los atacantes posiblemente accedieron a datos personales, incluyendo números de identificación y pasaportes, por lo que la compañía sugirió que bloqueen sus tarjetas y reporten el ataque a quien sea relevante

REFERENCIA: https://www.bloomberg.com/news/articles/2021-02-24/cd-projekt-hack-severely-disrupts-work-on-cyberpunk-game-updates

Más de 6700 servidores VMware expuestos y vulnerables a nuevo bug

Una nueva vulnerabilidad, afectando a VMware vSphere, ha sido publicada el día 24 de Febrero. Esta falla permite ejecutar código remotamente en el plugin vCenter Server, permitiendo a un atacante malicioso con acceso al puerto 443 ejecutar comandos privilegiados en el sistema operativo que sirve vCenter Server.

Esta vulnerabilidad afecta a VMware vCenter (versiones 7.x previas a 7.0 U1c, 6.7 previas a 6.7 U3l y 6.5 previas a 6.5 U3n) y VMware Cloud Foundation (versiones 4.x previas a 4.2 y 3.x previas a 3.10.1.2).

Luego que un investigador de seguridad chino publicara código de la prueba de concepto de este ataque en su blog, se han detectado escaneos masivos a servidores VMWare, con la intención de encontrar servicios potencialmente vulnerables y tomar control de ellos.

Esta vulnerabilidad es conocida como CVE-2021-21972, y se considera altamente crítica, por lo que es importante actualizar sus instalaciones VMware usando los parches oficiales del fabricante

REFERENCIA:
(1) https://www.vmware.com/security/advisories/VMSA-2021-0002.html
(2) https://www.tenable.com/cve/CVE-2021-21972
(3) https://swarm.ptsecurity.com/unauth-rce-vmware/
(4) https://www.zdnet.com/article/more-than-6700-vmware-servers-exposed-online-and-vulnerable-to-major-new-bug/

Extensión maliciosa de Firefox permite a atacantes acceder a cuentas Gmail

Un nuevo ataque descubierto permite tomar control de las cuentas Gmail de las víctimas, usando una extensión maliciosa para Firefox llamada FriarFox.

Investigadores indican que esta campaña, observada durante los primeros meses de este año, ha apuntado a organizaciones Tibetanas, y está ligado a TA413, uno de los APT del estado Chino, sigla en inglés para “Amenazas Avanzadas y Persistentes”.

La extensión simula ser una actualización de Flash Player, software obsoleto desde fin de 2020, para persistir en el navegador de la víctima, y permite a los atacantes buscar, leer, eliminar y reenviar mensajes de Gmail, así como recibir notificaciones y enviar correos. El malware se ha distribuido principalmente usando correos tipo Phishing.

REFERENCIA: https://www.proofpoint.com/us/blog/threat-insight/ta413-leverages-new-friarfox-browser-extension-target-gmail-accounts-global

La importancia de clasificar datos.

Para entender mejor cómo se puede clasificar la data, debemos remontarnos a la siguiente pregunta: ¿por qué clasificamos información? El objetivo de clasificar la información es poder llegar a entender qué se debe proteger con base en su importancia y relevancia. En vista de ello, es necesario determinar que hace que la información sea importante y crucial para la organización:

Información Importante

Las variables que hacen que la información sea importante pueden variar de persona a persona, o de organización a organización. Por esta razón, es importante determinar pilares objetivos que permitan discernir los varios tipos de información. Si bien la información puede tener importancia por varias razones, existen algunos pilares predeterminados que usualmente determinan la importancia o criticidad de la información:

  • Si está regulada por leyes o regulaciones
    • Información Personal
    • Información de Salud
    • Información Genética
    • Información de Tarjetas de Crédito.
    • Información de seguridad nacional.
  • Secretos industriales.
  • Información privilegiada e información interna sobre la bolsa de valores.
  • Investigación y Desarrollo
  • Información que se confía a terceros y que está protegida por un NDA.
  • Información que puede afectar la seguridad de otras personas.

Con el objetivo de determinar la importancia de la información, es muy valioso revisar cuáles son las consecuencias de una fuga o pérdida de información. Si por ejemplo un documento se fuga y ningún tipo de consecuencia resulta de ello, lo más probable es que es documento sea público o de uso interno. Si por el contrario, la fuga de información causa pérdidas debido al uso indebido de la misma, multas, demandas o mala publicidad entonces esta debe considerarse como restringida o confidencial.

Es importante recalcar que no importa si la persona que creó el documento o que trabaja con esa información piensa que su contenido es crítico o confidencial. La clasificación nunca debe basarse en la evaluación subjetiva de una persona, sino que siempre debe evaluarse en función a la importancia para la organización.

Los criterios para determinar el nivel de confidencialidad de cada documento deberían ser fáciles de entender y si están bien definidos, incluso en una clasificación manual deberían dar resultados consistentes. Incluso si se llegara a utilizar algún tipo de tecnología para clasificar la información, los criterios deben poderse entender. Para seguridad de la información esto es especialmente útil, ya que la facilidad de explicar los criterios permite de igual manera explicar a los usuarios un potencial bloqueo o protección de la información. Mientras más complicados sean los criterios de clasificación, más confusión se generará sin que exista un valor agregado. A final de cuentas es mejor tener un sistema de niveles menos preciso que funciona, en vez de un sistema de niveles altamente sofisticado que no funciona.

Protección de activos mediante microsegmentación.

Un Articulo de Dave Shackleford – SANS Analyst y Miembro del directorio de SANS Technology Institute

Resumen y Conclusiones

Si bien los términos microsegmentación y “Zero Trust” se han discutido mucho en las operaciones de TI últimamente, muchas organizaciones han peleado por encontrar caminos prácticos para implementar una tecnología que realmente alcance los objetivos de la microsegmentación: Mapear los activos, sus comportamientos reales y componentes locales en políticas lógicas, lo cual ha resultado desalentador, tanto conceptual como tácticamente.
Según la revisión del SANS Technology Institute, Guardicore Centra cumple con los desafios planteados. Guardicore Centra es un producto fácil de usar y ofrece una amplia gama de políticas intuitivas y poderosas para implementar los lineamientos de la microsegmentación interna y mucho más.

Más allá de los resultados de microsegmentación y control de acceso, esta solución proporciona un nivel de comprensión profunda y visibilidad del entorno que aporta beneficios adicionales en forma de capacidades de detección y respuesta. Los servicios de reputación y monitoreo fueron útiles, y Guardicore también admite datos de inteligencia de amenazas adicionales. Agregar capacidades dinámicas de engaño a la plataforma agrega una capa completamente nueva de profundidad y capacidad a este producto. Muchos equipos de operaciones de seguridad deberían probar con entusiasmo Centra por sí mismos. La tecnología de engaño puede ahorrar mucho tiempo a los equipos de seguridad y proporcionar datos forenses profundos para arrancar.

A medida que aumenta la tasa de cambio en la implementación de la carga de trabajo de TI y la integración de servicios en la nube, los modelos tradicionales de control de acceso nos fallan cada vez más. Los firewalls estáticos y estacionarios y las herramientas y tácticas de segmentación de red simplemente no están a la altura de la forma en que las organizaciones desean construir e implementar la infraestructura hoy. Las herramientas de microsegmentación como Guardicore Centra tienen mucho que ofrecer y probablemente ayudarán a promover las actividades de protección, detección y respuesta a medida que las organizaciones luchan con entornos híbridos que incluyen plataformas heredadas, redes internas complicadas e infraestructuras de servicios en la nube.

La importancia de una contraseña robusta.

Las empresas alrededor del mundo almacenan sus contraseñas dentro de bases de datos en diversos formatos y codificaciones, principalmente en forma de hash. Toda contraseña puede ser descifrada, existen finitas permutaciones de hash y lo único que podemos hacer es retrasar al atacante lo máximo que podamos.
En este artículo abordaremos la teoría y la matemática detrás del manejo de contraseñas seguras, además de las técnicas utilizadas para acelerar el descifrado.

Qué es un hash

Una función hash es un algoritmo que permite transformar un arreglo de bytes en una cadena de tamaño fijo, además el resultado debe ser siempre el mismo. Algunos ejemplos para la frase “el tractor amarillo que anda por la verde pradera”.

La seguridad de estos algoritmos se mide por la posibilidad de realizar ataques de colisión, en el siguiente ejemplo podemos ver que dos archivos binarios generan el mismo hash MD5:

Protegiendo la contraseña

Dentro de los leaks de contraseñas más populares de los últimos años ha quedado evidenciado que los usuarios tienden a ocupar contraseñas tan simples como: 123456, 123456789, picture1, password, 12345678, 111111, 123123, 12345, 1234567890, senha, amor. Esto demuestra una clara falta de controles y reglamentación en la creación de contraseñas. A continuación, vamos a evaluar técnicas para proteger las contraseñas contra los atacantes, incluso después de haber sido robadas, estas no podrán ser fácilmente descifradas.

Salting

El concepto de salting es concatenar una clave secreta con la clave del usuario para crear un hash, esto permite que una simple contraseña “contraseña123” se transforme en algo como “S3cr37P4zzw0rdcontraseña123”, aumentando considerablemente los esfuerzos necesarios para descifrar esta contraseña.
En el caso de que el atacante haya logrado obtener el código fuente es posible que este obtenga la clave de “salt”, por lo tanto, se deben aplicar controles adicionales a las contraseñas para reforzar la seguridad.

Passphrase

A veces es mejor utilizar una contraseña larga en vez de una contraseña muy compleja. Los ejemplos a continuación solo se podrían calcular mediante colisión, ya que matemáticamente tardaríamos siglos en calcular las permutaciones necesarias:

  • La lógica es el inicio de la sabiduría, no el final
  • No puedo cambiar las leyes de la física
  • Es posible no cometer ningún error y aun así fallar

Algoritmos “caseros”

En unos cuantos proyectos me ha tocado ver patrones de contraseña irregulares, que no se parecen a ningún algoritmo convencional en estructura. Al analizar cientos de muestras de este tipo de implementaciones y aprovechando herramientas como Burp Suite Sequencer, podemos inferir que es un algoritmo débil y probablemente de sustitución:

“Por este motivo, utilizar algoritmos propios que no cumpla con estándares internacionales es una vulnerabilidad.”

Grupos de caracteres

Al solicitar la creación de contraseñas podemos reforzar a nivel de servidor el uso de grupos de caracteres que nos parezcan apropiados, a continuación, listamos algunos grupos de caracteres comúnmente utilizados:

Es posible crear estándares de contraseña exigiendo múltiples elementos de la tabla anterior, esto finalmente aumenta el universo de opciones y fuerza el uso de contraseñas con un mayor grado de seguridad, es decir, poco adivinable.

Reglas comunes

Muchas implementaciones de protección de contraseñas refuerzan validaciones adicionales como las que listamos a continuación.

  • Secuencias de caracteres (123, abc, 456, etc)
  • Datos personales (Fecha de nacimiento, nombres, apellidos)
  • No utilizar contraseñas anteriores
  • El número no puede estar al final
  • La mayúscula no puede ser la primera letra
  • El último carácter no puede ser un símbolo

Las matemáticas y costos del cracking

Existen cuatro formas de “descifrar” una contraseña que ha sido propiamente “hasheada”:

  • Encontrarla en un rainbow table
  • Encontrarla mediante un ataque de diccionario
  • Encontrarla mediante un ataque de fuerza bruta
  • Colisión de hash (No afecta a sha256 hasta hoy)

A continuación, vamos a ver ejercicios de fuerza bruta mediante la generación programática de permutaciones con la herramienta Hashcat para hashes sha256. La herramienta hashcat se puede configurar junto con conjuntos de reglas tales como el universo de caracteres, que comience con mayúscula, que termine con un símbolo, etc.

Para este ejercicio vamos a medir la cantidad de hash por segundo en Mh/s, la cual representa N millones de hash por segundo.
El entorno de pruebas es una máquina de Amazon AWS p3.16xlarge, con un costo por hora de funcionamiento de 24,48usd. Este servidor tiene la capacidad de producir aproximadamente 59971.8Mh/s de sha256.
Es importante notar que los distintos algoritmos generan distintas velocidades en MH/s, por ejempo, bcrypt con sha256 permite crear hashes a una velocidad de 0,43Mh/s, 140.000x más lento que sha256 solo.
Al conocer nuestro universo y cantidad de caracteres, podemos automatizar la herramienta hashcat para realizar todas las permutaciones necesarias hasta dar con la contraseña. La siguiente tabla contiene el universo, la cantidad de permutaciones, un ejemplo, el tiempo de descifrado y el costo en USD.

Estas pruebas se pueden paralelizar, es decir, es posible ejecutar las 7264 horas en un día al distribuir la carga entre 302 servidores. Manteniendo el costo de $177.822 USD

Recomendaciones

Existen múltiples bases de datos de contraseñas y servicios (como haveibeenpwned.com), los cuales permiten conocer el estado de seguridad de alguna contraseña o incluso una cuenta. Pese a que no recomendamos compartir con nadie las contraseñas de sus usuarios, es bueno saber si las contraseñas que ellos utilizan comúnmente en sus plataformas son públicamente explotadas y parte de diccionarios de contraseñas.

  • Utilizar password salting.
  • Utilizar algoritmos de hashing seguros como sha256 y sha512.
  • Utilizar implementaciones seguras de hashing como bcrypt con sha512, la cual fuerza el uso de salts y crea hashes que no se repetirán.
  • Limitar la cantidad de intentos de inicio de sesión.
  • Expirar las contraseñas cada cierto tiempo.
  • Segundo factor de autenticación mediante alguna aplicación de autenticador, hoy en día se duda de la seguridad de los SMS y las llamadas como 2FA.
  • Permitir el uso de caracteres especiales (Unicode) en las contraseñas, incluyendo emojis.

Referencias

(1) https://csrc.nist.gov/projects/cryptographic-standards-and-guidelines
(2) https://pages.nist.gov/800-63-3/sp800-63b.html
(3) https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Application_Security_Testing/04-Authentication_Testing/07-Testing_for_Weak_Password_Policy

Cinco puntos ciegos de seguridad creados por la transformación digital

Estamos entrando en lo que algunos llaman la Cuarta Revolución Industrial, ya que la transformación digital disuelve los perímetros de seguridad tradicionales y lleva todo a la nube.

Los datos se crean a un ritmo explosivo, la gran mayoría de ellos en dispositivos móviles o directamente en la nube. Las fuerzas laborales se están volviendo cada vez más remotas, lo que significa que se están alejando de los perímetros tradicionales del centro de datos empresarial. La transformación digital, que está impulsando la adopción de la nube y los dispositivos móviles, está creando un cambio tremendo en la postura de riesgo, exponiendo como resultado nuevos puntos ciegos de seguridad para todas las organizaciones.

Como CSO de una plataforma de seguridad en la nube, sé por experiencia que esos puntos ciegos significan que es menos probable que los equipos de seguridad vean las amenazas que se avecinan o se protejan de sus propias amenazas internas. Peor aún, la superficie de ataque está creciendo a un ritmo rápido, donde los controles de seguridad heredados que se encuentran en su perímetro no pueden proteger ni ver. Combinado con un conjunto completamente nuevo de amenazas específicas de la nube, esto significa problemas para todos los programas de seguridad.

Sin embargo, los equipos de seguridad pueden prepararse ahora para un futuro habilitado para la nube que se acerca rápidamente. Aquí es donde puede comenzar:

1. La Red

Los programas de seguridad se crearon en un mundo en el que asumíamos que las empresas eran propietarias del dispositivo y la red donde vivían sus datos. Ahora, con un número cada vez mayor de usuarios empresariales en la nube, es posible que no estén pasando por su centro de datos o ni siquiera por su red. Sus datos ahora están ubicados donde alguien más los controla, ya sea en un dispositivo remoto iOS / Android o una aplicación SaaS como Salesforce u Office 365, lo que resulta en una menor visibilidad de la red.

El primer paso para recuperar el control es aceptar que ha perdido el control y la visibilidad de la mayoría de los dispositivos móviles / remotos y de la mayoría de las aplicaciones SaaS / Cloud. A partir de ahí, una buena forma de controlar constantemente el acceso a sus datos es con una puerta de enlace web segura (SWG) basada en la nube.

2. Remoto / Móvil

El trabajador promedio de hoy tiene más de dos dispositivos móviles y es probable que los use fuera de la red de su empresa. Una vez que un dispositivo móvil sale de su red, no ve las amenazas. Si es un dispositivo administrado o propiedad de la empresa, el primer paso para recuperar la visibilidad es encontrar una buena solución de seguridad para terminales. El segundo paso es conectar el dispositivo remoto a su SWG para un enfoque de dos niveles para mitigar las amenazas. El tercer paso es implementar políticas de DLP basadas en la nube, utilizando su SWG para proteger los datos que salen del dispositivo administrado. Si se trata de un dispositivo no administrado, el primer paso es aprovechar un SWG o CASB para invertir el proxy y obtener visibilidad de las aplicaciones y los datos. Por ejemplo, puede permitir la visualización de datos confidenciales pero negar su descarga a un dispositivo no administrado. Esto le brinda un control mucho mejor de los dispositivos no administrados.

3. Cifrado SSL / TLS

Si bien el cifrado SSL / TLS 1.3 se ha convertido en estándar para muchas organizaciones, la mayoría no puede obtener visibilidad sobre él, por lo que corre el riesgo de dejar que las amenazas se deslicen ante sus narices. Si bien será necesario superar un cierto nivel de complejidad, la mejor manera de obtener visibilidad de ese cifrado es insertar su seguridad en línea. Establezca conexiones seguras entre las dos ubicaciones de transporte y su plataforma de seguridad, algo que comúnmente se denomina “hombre en el medio”. Con eso, debería poder rectificar este punto ciego, pero a su vez también tendrá que lidiar con él además de las API.

4. Visibilidad API / JSON

Hay más de 30,000 aplicaciones en la nube que las organizaciones pueden estar usando hoy en día, y todas ellas usan API únicas para conversar. Antes, era fácil decodificar los idiomas del tráfico web, como TCP IP o HTTP, pero API / JSON es el nuevo idioma de Internet y el idioma de todas las aplicaciones en la nube, lo que significa que ahora hay miles de dialectos. Sin poder decodificar el código JSON a escala, no sabrá la función exacta que está realizando en una aplicación determinada o cuánto acceso le está dando a una aplicación a sus datos.

Esta visibilidad puede ser aún más problemática si su infraestructura no puede discernir entre instancias personales y corporativas de uso de una aplicación. Sin una visibilidad granular, un empleado de su organización podría acceder a datos confidenciales en una cuenta de Box corporativa desde un dispositivo personal no administrado. Y no podrías notar la diferencia. La única solución que puedo ofrecer para corregir esta visibilidad es una solución SWG que le brinda la visibilidad granular para distinguir instancias y traducir estas API, junto con otro cifrado.

5. Datos en la nube

Gran parte de los datos de su organización ya se encuentran en la nube, pero es posible que no sepa cuántos datos confidenciales se están filtrando realmente a través de las aplicaciones en la nube que ya está utilizando. Considere que su departamento de recursos humanos quiere realizar una auditoría sobre la demografía de su empresa. Simplemente podrían cargar toda esa información personal confidencial en una aplicación en la nube con unas pocas teclas. Pero, ¿cómo sabe que la aplicación en la nube es segura? No es así. Y lo que es peor, es posible que su equipo de recursos humanos ni siquiera se dé cuenta de la cantidad de datos confidenciales que está proporcionando a una fuente que posiblemente no sea de confianza.

En mi experiencia, la forma más eficaz que he encontrado para disuadir el uso compartido involuntario de fuentes incompletas es simplemente agregar un mensaje a su sistema, asegurándose de que el usuario realmente quiera compartir datos con una fuente que quizás no pueda protegerla adecuadamente. Y si incluso si sobrepasan esa protección, puede activar las alarmas necesarias para que pueda detenerlo antes de que algo se vea comprometido.

Los datos en la nube fluyen como el agua y es su trabajo crear la ruta correcta para ellos.

Si bien todos estos puntos ciegos representan una gran preocupación para todos y cada uno de los equipos de seguridad, vale la pena señalar que todos ellos se pueden abordar fácilmente con el enfoque correcto. Si comienza a hacer las preguntas correctas sobre su postura de seguridad actual y busca la tecnología adecuada para encontrar las respuestas, estará mejor preparado para enfrentar la transformación digital.

FUENTE:
https://www-forbes-com.cdn.ampproject.org/c/s/www.forbes.com/sites/forbestechcouncil/2020/06/19/five-security-blind-spots-created-by-digital-transformation/amp/